V úvodnom článku tejto minisérie sme sa venovali prípadom porušenia nariadenia Európskeho parlamentu a Rady (EÚ ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (ďalej len „GDPR “) z obdobia bezprostredne po nadobudnutí účinnosti tejto normy, ktorá je priamo vykonateľná a záväzná vo všetkých členských štátoch Európskej únie. Dozvedeli sme sa, že úroveň ochrany osobných údajov v zdravotníckych zariadeniach občas naráža na prísne pravidlá nakladania s dátami pacientov, ktoré GDPR ustanovuje pre prevádzkovateľov bez ohľadu na oblasť ich pôsobenia. Z prezentovaných prípadov vysvitlo, že dozorné orgány ochrany osobných údajov od samého začiatku využívali svoje sankčné kompetencie v celej šírke dostupných možností. V tomto článku sa pozrieme na jednu z najvyšších pokút udelených poskytovateľom zdravotnej starostlivosti a na dôvody, pre ktoré bola táto extrémna pokuta uložená.
Zdravotnícke poradenstvo po telefóne
Prípad, ktorému sa budeme v tomto článku venovať sa odohral v Škandinávii. V každom z 21 regiónov Švédska je na čísle 1177 k dispozícii telefónna linka. Prostredníctvom predmetnej linky je poskytovaná poradenská činnosť v oblasti zdravia. Regióny prevádzkujú linku interne alebo prostredníctvom zmluvných dodávateľov, pričom výsledkom je národná sieť pokrývajúca celú krajinu. Prijatý hovor na číslo 1177 je vždy presmerovaný podľa lokality, v ktorej sa volajúci nachádza. Takýmto spôsobom sa pacienti žijúci v regiónoch Štokholm, Sörmland a Värmland pri hľadaní rady a pomoci so svojim zdravotným problémom dovolali vždy k svojmu lokálnemu poskytovateľovi, spoločnosti MedHelp AB (ďalej len "MedHelp"). Keďže ide o nepretržitú telefónnu linku, spoločnosť MedHelp v snahe zabezpečiť optimálnu prevádzku v neskorých hodinách a cez víkendy, uzatvorila zmluvu s thajským subdodávateľom, spoločnosťou Medicall Co Ltd. (ďalej len "Medicall"). Oba subjekty, MedHelp a Medicall sa zas dohodli s technologickou spoločnosťou Voice Integrate Nordic AB (ďalej len "Voice Integrate") na technickom zabezpečení viacerých aspektov prevádzky telefónnej linky vrátane nahrávania a uchovávania uskutočnených hovorov. Pri dostatku profesionálnej starostlivosti všetkých zainteresovaných subjektov by na takomto rozdelení úloh nebolo nič nezvyčajné.
Začiatkom roka 2019 však redaktor portálu ComputerSweden
1)
dostal anonymný tip na rozsiahly únik dát. Sledujúc poskytnutú stopu odhalil jedno z najväčších porušení ochrany osobných údajov týkajúcich sa bezpečnosti osobných údajov a súkromia švédskych pacientov. Na serveri, ktorý pre MedHelp a Medicall prevádzkovala spoločnosť Voice Integrate ako webové úložisko dát, objavil nezabezpečené dáta o 2,7 miliónoch uskutočnených hovorov. Nešlo len o metadáta odhaľujúce telefónne čísla, dátum, čas a dobu trvania hovoru. Za adresou
http://188.92.248.19:443/medicall/ sa nachádzali kompletné záznamy hovorov zrealizovaných od roku 2013, v rozsahu 170-tisíc hodín. Hovory dostupné komukoľvek prostredníctvom internetu boli uskutočnené medzi volajúcimi a subdodávateľom Medicall sídliacim v thajskom Hua Hin.
Na prístup k zvukovým súborom nebolo potrebné žiadne heslo. Stačilo mať webový prehliadač a poznať IP adresu. Po vypočutí niektorých hovorov bolo jednoznačné, že volajúci hovorili o svojich príznakoch, liekoch, ktoré užívajú, alebo o predchádzajúcej liečbe. V mnohých prípadoch uviedli aj svoje osobné identifikačné čísla. Často sa volajúci informovali aj o príznakoch svojich detí a pýtali sa na postup pri starostlivosti, ktorú im poskytnúť, uvádzajúc ich čísla sociálneho poistenia. Ktokoľvek s bežným webovým prehliadačom mohol počúvať a dokonca sťahovať zvukové súbory obsahujúce citlivé osobné údaje a informácie o zdravotných problémoch rôznych ľudí. Incident bol jednoznačne dôsledkom nesprávnej konfigurácie zariadenia webového úložiska, ktoré bolo verejne prístupné cez internet a nepoužívalo šifrovanú komunikáciu. Nehovoriac o tom, že systém obsahoval aj vtedy známe bezpečnostné zraniteľnosti.
Rýchla reakcia dozorného orgánu
Už niekoľko dní po prvom odhalení sa prípadu ujal švédsky dozorný orgán na ochranu osobných údajov, keďže všetky zainteresované spoločnosti ohlásili únik osobných údajov. Oznámenie porušenia ochrany osobných údajov (čl. 33 a 34 GDPR) je pomerne nový inštitút, ktorý napríklad v slovenskej legislatíve až do príchodu GDPR absentoval. Podľa recitálu 85 GDPRby mal prevádzkovateľ hneď: "ako sa dozvie, že došlo k porušeniu ochrany osobných údajov, bez zbytočného odkladu a podľa možnosti najneskôr do 72 hodín od okamihu, ako sa dozvedel, že došlo k porušeniu ochrany osobných údajov, toto porušenie oznámiť dozornému orgánu"
2)
. Výnimku tvoria len prípady, keď nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva a slobody fyzických osôb. V prípade popisovaného incidentu zo Švédska, veľmi správne žiadny z aktérov popisovaného incidentu nevyhodnotil uvedené riziká ako nepravdepodobné. Dodržiac prísnu lehotu 72 dní tak svoje oznámenia o porušení ochrany osobných údajov doručili príslušnému úradu.
Dozorný orgán si zobral pod dr
Pre zobrazenie článku nemáte dostatočné oprávnenia.
Odomknite si prístup k odbornému obsahu na portáli.
Prístup k obsahu portálu majú len registrovaní používatelia portálu. Pokiaľ ste už zaregistrovaný, stačí sa prihlásiť.
Ak ešte nemáte prístup k obsahu portálu, využite 10-dňovú demo licenciu zdarma (stačí sa zaregistrovať).